1. 개요
2003년 1월 25일에 대한민국의 인터넷망이 분산 서비스 거부 공격, 소위 말하는 DDoS(디도스)로 마비되어 혼란에 빠진 사건이다.2. 전개
원인은 Microsoft의 SQL 서버의 보안 취약점을 악용하여 공격하는 동시에 자신을 감염시키는 악성코드인 슬래머 웜이었으며 이 사건으로 인해 취임한 지 얼마 안 된 정보통신부 장관이 책임을 지고 사임했다.슬래머 웜에 감염된 좀비 PC들이 대량의 데이터를 만들어 KT 혜화 전화통신 관문국사의 DNS 서버를 공격하면서 대란이 시작됐다. 이 전화국의 DNS 서버 및 다른 서버들까지 마비되자 트래픽이 백본망으로 우회하기 시작했고 결국 다른 지역의 서버들도 줄줄이 마비됐다. 대란의 여파로 당시 인터넷을 통한 전자거래, 금융, 예약 서비스가 전면 중지되면서 국민들이 혼란에 빠지기 시작했다.
2003년 1월 25일 KT 혜화지사[1] 내 DNS 서버[2]가 슬래머 웜에 감염된 PC에 의해 대량의 트래픽이 발생하자 DNS 서버의 정상적인 운영이 불가능해졌다. DNS 서버는 www.naver.com을 입력하면 IP 주소 125.209.222.141 혹은 125.209.222.142[3] 로 바꿔 네이버에 접속하게 해 주는 것인데, 이 DNS 서버가 중단되어 웹사이트 접속에 제약이 걸리게 된다. 사태 당시 혜화지사는 국내의 모든 전화국사들 중 유일무이한 통신관문국[4]으로, 국내의 모든 DNS 서버와 인터넷 통신망 중계기가 집중되어 있던 곳이었다. 이에 따라 다른 DNS 서버와 기간망에 물려있던 서버들이 정지하는 사태가 발생하여 결국 도메인을 입력하여 접속할 수밖에 없는 인터넷의 특성상 웹 사이트 접속이 불가능하게 되었다.[5]
KT DNS 서버가 정지했기 때문에 사내 DNS 서버나 두루넷[6] 같은 별도 통신사가 운영하는 DNS 서버 중 일부는 정상적으로 운영이 되었고 이들 DNS 서버를 이용하면 정상적으로 인터넷 사용이 가능했다. 심지어 이러한 끔찍하고 심각하디 심각한 통신 대란이 있었는지를 KBS 뉴스 9나 MBC 뉴스데스크, SBS 8 뉴스, iTV 뉴스8을 보고서야 알게 된 사람도 있었다고 한다.
당시에는 다이얼업 모뎀 및 텔넷을 기반으로 하는 VT 서비스가 완전히 종료되기 이전이라, 인터넷 사이트에 접속이 불가능해진 수많은 사람들이 일부 IRC 네트워크나 나우누리 등 PC통신 게시판으로 돌아와 잠시 북적이기도 했다. 마치 핵 전쟁 후 방공호로 몰려든 사람들처럼. PC통신이 2000년 이후에 조금씩 사양길에 접어들고 있는 상황이었던지라 대중들에게 PC통신이 영향력을 보인 마지막 사건이라 할 수 있을 듯. IT 기업들 중에는 사내 전용 DNS 서버를 운영하는 곳이 많았는데 인터넷이 안 된다는 인터넷 메신저를 통한 지인들의 문의에 대란 상황을 몰랐던 많은 전문가들이 당혹해하기도 했다.[7] 당연히 PC방도 개점 휴업 상태가 될 수밖에 없었다.[8]
더욱이 당시 설 특수를 앞두고 있던 인터넷 쇼핑몰들도 매출 감소로 인한 피해를 입었다.
물론 DNS 서버만이 정지된 것이기 때문에 DNS의 역할을 대체할 방법이 있다면 정상적으로 인터넷을 사용할 수 있었다. 현재에는 악성 코드나 건드리는 것으로 알려진 hosts 파일은 그 자체가 간단한 DNS이다.[9] 운영체제에서 도메인 이름을 DNS 서버에 조회하기 전에 이 파일에 도메인 이름이 있는지 확인한 다음 없는 경우에만 DNS 서버에 조회한다. 그래서 이 파일에 도메인 이름과 IP 정보를 추가해 놓으면 DNS 서버가 맛이 가도 인터넷을 사용할 수 있다. 평소 인터넷 사이트를 접속할 때 도메인이 아닌 IP 주소로 접속하는 변태적인 습관을 가진 사람이었다면 이 사태로부터 상대적으로나마 자유로울 수 있었다. 당시에는 그런 사람이 있었다.
덕분에 도메인 이름이 아닌 IP 주소만 사용했던 일부 서비스는 정상적으로 사용이 가능했고, DNS랑 크게 상관이 없어서 접속이 가능했던 일부 IRC 네트워크나 PC 통신 서비스에서는 사태를 재빠르게 파악한 일부 사용자들이 hosts 파일을 만들어 공유하기도 했다. 대표적으로 당시 사용하던 유명 국산 메신저 중 일부는 메신저 서버를 IP 주소만 사용해서 이러한 상황에서도 정상적으로 동작했다. PC방이 맛 간 상태에서 일부 PC방 알바는 스타크래프트 배틀넷만은 된다는 사실을 발견하고 손님을 잡아 자신의 존재 가치를 알리기도 했다. DNS만 죽은 상황이었기 때문에, 스타크래프트가 배틀넷에 접속할 때 도메인이 아닌 IP로 접속한다면 당연히 잘 동작한다. 다른 게임들도 내부적으로 IP로만 접속하는 방식이었다면 온라인 게임에는 지장이 없었을 것이다.[10]
하지만 그때나 지금이나 웹 표준은 개차반인 상황이었기에 내부 홈페이지 링크나 컨텐츠가 같은 도메인 상의 페이지를 도메인까지 명시한 절대 주소로 되어 있다면 컨텐츠들은 보이지 않는다. 또한 부하분산(로드밸런싱) 등의 이유로 다른 도메인으로 일부 컨텐츠가 분리되어 있다면 역시 마찬가지. 게다가 그때에도 이미 몇몇 온라인 게임들은 홈페이지와 연계해서 서비스하는 경우가 많았기에 그런 경우 게임 서버는 아무리 멀쩡해도 사람들이 홈페이지에 들어가지 못하는 바람에 결국 불가능하다.
그 결과 소수의 웹 사이트와 일부 망을 제외하고 대부분의 웹 사이트 접속이 불가능하게 되어 PC방 등에서는 사용자들의 항의가 많았고 전술한 hosts 파일을 수정하는 등의 임시방편을 활용하는 방법은 고사하고 제대로 된 지식 없이 컴퓨터를 사용하던 사람들은 하드디스크를 포맷하는 등의 일을 벌이기도 했다. 그나마, 불행 중 다행인 것은 토요일에 발생하여 증권 거래나 기업 활동에는 큰 피해가 없었다는 점. 심지어, 현금이나 동전으로 거래하는 비중이 2000년대 후반이나 2010년대 초반 이후와는 달리 비교도 안될 만큼이나 높은 편이어서 현금 없는 사회와는 거리가 굉장히 멀었다.
슬래머 웜이 공격하는 보안 취약점은 이미 MS사가 발견하여 취약점을 보완한 업데이트를 제공한 상태였다. 정식 서비스 팩을 설치하거나 DB 관리자 계정에 암호를 지정하는 정도면 충분히 해결하고도 남는 문제였으나, 관리자 암호를 설정하지 않았거나 서비스 팩을 설치하지 않은 곳이 많았던 바람에 엄청난 속도로 전파되었다. 사실 1.25 대란이 일어나기 며칠 전부터 별다른 이유 없이 트래픽이 초과하는 모습이 곳곳에서 목격되었으며, 훗날 분석한 결과 이는 SQL 포트로 대량의 트래픽이 몰려온 슬래머 웜의 전조였다.
보안이 취약한 서버에서 발생한 트래픽으로 인해 혜화국사의 DNS 서버를 비롯한 다른 지역의 서버들까지 뻗은 거라 혜화국사의 과실과는 무관하고, 그냥 각각의 정부기관이나 교육기관, 여러 기업체들의 서버 관리자들이 일을 제대로 안 했던 것. 그럼에도 굳이 KT 본사에다 책임을 묻고자 한다면 혜화지사 내의 중요 설비들을 다른 전화국사들에다가 미리 분산시켜 놓지 않는 등의 대비를 제대로 안해놨다는 정도까지가 한계일 따름이다.
3. 여파
이 사건 이후 KT에서는 서울 시내 6개 전화국사에 관문국 시설[11]을 분산하였으나, 국내와 해외를 연결하는 관문 시설, 즉 해외 노드는 아직도 혜화지사만을 거친다.[12] 물론 구로지사[13]에도 혜화지사처럼 해외 노드가 구축되어 있으나, 구로지사에 구축되어 있는 해외 노드는 어디까지나 혜화지사가 마비되었을 때만 사용하는 백업용에 불과하며, 용량이 매우 한정되어 있어 중요 우선 순위 별로 해외 노드 접근권이 부여되므로 논외. 그래서 여전히 겨우 한 번뿐일지라도 이미 전술해놨듯이 이 전화통신관문국사 내의 어느 하나의 장비라 하더라도 데미지를 입게 되면 그 순간부터 피해가 막심해지는 중요시설인지라 테러범들의 주된 타겟들 중 하나이고, 전쟁이 진행 중이거나 전쟁에 준하는 상황이 발생하더라도 무조건 사수해야만 하는 국가중요시설들 중에 나급 정보통신시설로 지정되어 있다.[14]결국 당시 정보통신부(現 과학기술정보통신부)가 칼을 빼들어 보안 패치 조치가 실시되었고 사건은 막을 내렸으며 이 사건으로 피해를 입은 인터넷 사용자들은 KT를 상대로 피해보상소송을 제기하기도 하였다.
[1]
인터넷 설치기사나 수리기사와 만날 일이 생기면 '국사'라는 말이 나오는데 이 말 자체가 당신이 살고 있는 집이나 근무 중인 직장 근처에 위치한 전화국을 의미한다.
[2]
168.126.63.1(kns.kornet.net), 168.126.63.2(kns2.kornet.net)
[3]
현재
nslookup 명령어로 네이버의 IP 주소를 조회해 보면 위의 두 가지의 IP 주소를 뱉어낸다. 물론, 이 주소들이야 유동 IP 주소가 아니라고 해서 꼭 이 주소대역으로 접속하지만은 않는다.
[4]
공항들 중에 허브공항에 비유하자면
인천국제공항에 해당이 될 것이고 대한민국이란 나라의 전체적인 시스템이 돌아가기 위한 심장부에 비유하면
청와대,
정부종합청사에 해당된다고 봐도 무방하다.
[5]
사실 접속이 진짜로 불가능한 건 아니다. DNS 서버가 공격당했기 때문에 흔히 쓰는 www.naver.com에서 125.209.222.141로 바꾸는 기능이 멈춘 것이기 때문에 125.209.222.141를 그대로 치면서 인터넷을 이용한다면 문제가 없다. 하지만 누가 접속하는 사이트들의 IP 주소를 모두 외우면서 쓰겠는가? 이렇게 외워가면서 쓰는 것이 불편하고 귀찮은 일이 아니라면 인터넷 역사에
DNS라는 것이 지금까지도 존재할 이유 자체가 없었을 것이다.
[6]
2006년
하나로텔레콤(현
SK브로드밴드)에 인수되었다.
[7]
앞서 언급했듯이 이 대란의 실태를 뉴스 보도를 보고서야 정확히 파악했을 것이다.
[8]
물론, PC방 역시 사설
DNS를 운영하고 있으리라는 전제를 달게 된다면 이 때의 대란이
15년 이후에 터져버린 통신구 화재사건 급 정도 되는 대형사고로 터진 것이 아닌 이상은 마찬가지로 문제에서 자유로웠을 것이다.
[9]
단, 이 hosts 파일은 도메인(서브 도메인 포함)을 IP 주소와 연결하기 위한 리소스 레코드들 중에 A 레코드와 AAAA 레코드만 사용 가능하고, IP 주소를 도메인과 연결하기 위한
PTR 레코드는 등록하는 게 불가능하다.
[10]
시티레이서도 클라이언트 로그인 방식인 덕분에 아무런 피해가 없었을 것으로 추정된다.
[11]
관문국 시설은
에도 여전히
서울에 집중되어 있다.
[12]
특히, 국가 기간 통신망은 KT가 독점적으로 소유, 운영하고 있기 때문에 KT의 관문국들이 무력화되면 타 통신사나 기관들이 구축한 우회 노드들은 아무런 의미가 없게 된다. 이러한 우회 노드들도 물리적으로 관문국을 거칠 수 밖에 없기 때문이다. 특히, 물리적인 해외 노드는 사실상, KT 혜화지사 단 한 곳에만 구축되어 있기 때문에 혜화지사의 무력화는 해외와의 통신 단절을 초래하게 된다. 국내 관문국 시설은 총 6개가 있는데, 이 관문국 시설들이 전부 서울의 KT 지사들에 집중되어 있다. 또한, 해외 노드 관문국은 혜화 지사가 독점하고 있는 상황이다. 위험의 분산을 위해 이러한 관문 시설들을 전국의 여러 지역들로의 분산이 필요하지만, 이러한 문제가 전혀 개선되지 않은 채 통신 인프라 자체가 고도화되었기 때문에 현재 상태에선 개선한다는 것 자체가 사실상 불가능한 상황이다.
[13]
이름과 달리
구로구가 아닌
관악구 신림동에 있다. (그나마 구로구와 가까운 곳에 있기는 하다.) 또한 서울 기준 시외전화 요금 거리 기준이 되는 곳이기도 하다.
[14]
국가중요시설 지정 및 방호 훈령을 살펴보면 제7조 5항의 2, 바 항목에는 국가경제에 중대한 영향을 미치는 정보통신 기반․관리시설이라고 명시해 놓은 걸 보면
KT 혜화지사가 전혀 해당이 안 될 수가 없다. 따라서, 이러한 이유들로 인하여 출입이 허가되지 않는 일반인들은 옛날이나 지금이나 이 혜화지사 내의 KT 플라자 혜화점이 유일하게 영업 중인 시간(평일 오전 9시~오후 6시)에 한해서만 출입이 자유롭다. 물론, 다른 전화국들도 플라자 같은 직영점을 제외한 내부시설에 대해서는 일반인의 출입을 금하기는 마찬가지겠지만, 혜화지사가 그만큼 전국의 모든 전화국들 중에서 제일 중요하기 때문에
특별히 더 강조하는 거다.